Consensus Audit Guidelines es un proyecto realizado entre la industria y el gobierno americano para identificar los controles de seguridad más críticos a la hora de defender los sistemas informáticos nacionales. Uno de los consultores participantes en su elaboración, John Gilligan, rebate la preocupación por los elevados costes de cualquier mejora de la seguridad afirmando que durante los años que fue CIO de Air Force –entre 2001 y 2005- aplicó algunos de estos criterios y consiguió ahorrar dinero tanto en la gestión del riesgo como de las TI.

La lista de recomendaciones de Gilligan dice:

1) Conozca su red. Haga inventario de todos los dispositivos de su red con una herramienta de recuperación de activos. Registre las direcciones de red, los nombres de equipos, el propósito de cada dispositivo y la persona responsable de él. Encripte esta información. Asimismo, conciba una lista encriptada del software autorizado para ejecutarse en su red. Periódicamente, pruebe su herramienta de inventario de software desplegando nuevas aplicaciones para ver si las detecta. Apunte el retraso; es un tiempo vulnerable.

2) Pruebe y verifique. Documente y pruebe las configuraciones de seguridad en imágenes del sistema antes de desplegar portátiles, estaciones de trabajo y servidores. Realice comprobaciones una vez al mes de sus sistemas para ver qué configuraciones son las correctas. Almacene las imágenes maestras en servidores seguros o en máquinas offline.

3) Tome el control. En los puntos de conexión de la red, implemente filtros para permitir el uso sólo de los puertos y protocolos con una documentada necesidad empresarial. Use autenticación de doble factor y sesiones encriptadas en todos los dispositivos de red. Exija que el logging remoto también sea de autenticación de doble factor.

4) Sea desconfiado. Establezca logs auditados para registrar fechas, marcas de tiempo y direcciones de fuente y destino para cada pieza de software. Conciba perfiles de actividad común y defina logs para determinar anomalías. Despliegue cortafuegos para vigilar ataques web comunes. Pruebe el código fuente para malware y puertas traseras antes de desplegarlos.

5) Vigile su espalda. Ejecute escaneo de vulnerabilidades al menos una vez a la semana (preferiblemente a diario). Compare los escaneos secuenciales para asegurarse de que los problemas anteriores ya se han resuelto. Instale parches críticos dentro de la semana. Reporte diariamente las cuentas deshabilitadas o bloqueadas, así como las cuentas con passwords determinadas para que nunca caduquen o que excedan un tiempo máximo. Tenga las explicaciones para esas cuentas. Revise las máquinas a diario e instálele actualizaciones para protegerlas contra el malware.

Para obtener más detalles y conocer el resto de recomendaciones, así como una explicación de cómo los atacantes explotan la falta de cada uno de los controles, visite www.gilligangroupinc.com.